政务网络安全监测平台技术要求划分、一般性说明、威胁情报数据格式.docxVIP

附录A （资料性） 政务网络平安监浏平台技术要求划分 政务网络平安监测平台技术要求划分如表A. 1所示。 表A. 1政务网络平安监测平台等级划分表 技术要求 根本要求 增强要求 通用 要求 数抿采集预处理 数据采察 6. 1. la)-c)4) 6.1. 1 数抠预处理 教据存佑 存储唾求 6.2. la)-d) 6.2. 1 存储方式 数抿总线 内部数推交换接口 6.3.1 6.3. 1 数据采集接口 at联接口 — 外部接口 敛据分析 — 6. 4a)-g) 展示与应用 有势展示 6.5. 1 6.5. 1 鱼警通报 6. 5. 2a)-d 3) 应急处置 6.5. 3a) -b) 成胁情报 威胁情报组织 — 6.6. 1 成防悟报史新 岐胁怡报使用 戒胁情报生成 — 平安管理中心 用户管理 6.7. 1 6. 7. 1 配置管理 运行畦控 身份标识与接圳 6. 7.4a)-h) 6. 7. 4 授钗管理 平安审计 数据平安传输 存储数抠保护 扩展 要求 玖务云平安监测 数据栗见预处理 7. 1. la) 数据分析 展示与应用 7. 1. 3a) 政务数据平安监 测 数据采集预处理 数据分析 域名系统平安监 测 数批采集预处理 7.3. 1 故据分析 玖务应用平安监 测 邮件监测 7. 4.1.1a). 7.-1.1.2a)-e) 7.4. I  网站监测 业务监测 平安保障要 求 开发 平安架构 8. 1. 1 8. 1. 1 功能观范 产品设计 8. 1. 3a)-b) 实现表示 — 指导性文档 探作用户指南 8. 2. 1 准备程序 生命成期支持 配置费理能力 8.3. la)-c) 8. 3. 1 配置管理范困 8.3.2 a) 交付程序 开发平安 — 8. 3.4 生命周期定义 工具和技术 — 测试 测试FBifi 8.4. la) 8. 4. 1 测试深度 功能测试 8. 4. 3 独立测试 8. 4.4 胞崩性评定 注：等级保护三级以下的政务网络平安监洌平台应满足本表中全部的根本要求.等级保护三 级（含）以上的政务网络平安监测平台应满足本表中全部的根本要求和增强要求。 附录B （标准性） 政务网络平安监测平台一般性说明 平台部署结构 政务网络平安监测平台一般由前端数据采集探针、后台分析与展现系统以及可实现相关 技术要求的软硬件系统组成。其中，探针的类型及其部署方式为： a）流垒探针：旁路部署在核心交换或者重要业务区域会聚交换，通过流屈镜像进行数 据采集： a） LI志探针：对平安设备、主机、业务系统等L!志信息进行采集： 1） 平安设备日志：与平台之间网络路由可达.采集平安设备的设备日志数据、告 警数据等信息，可对接SOC等统一日志存储平台： 2） 主机日志：部署在主机系统内，采集主机防恶意软件事件、防火墙事件、入侵 防御事件、完整性监控、系统事件等日志信息： 3） 业务系统日志：与平台之mm由可达，采集业务系统的登录日志、系统操 作日志等信息： b） 资产探针：路由可达部罟在网络环境中，采集网结中的资产信息： c） 脆弱性扫描探针：路由可达部署任网络环境中，采集网络中资产、业务的施弱性信 息。 平台可采用级联部署方式，如图3所示。 图1政务网络平安监测平台级联部署示意图 B. 2数据总线结构 数据总线实现： a） 内部各功能模块之间的数据交互： b） 不同类型的数据采集探针的数据格式统一标准化： c） 上下级平台之间的数据级联对接： d）与第三方平台之间的:数据对接。 数据总线结构知图4所示。 技挹接口 归性数察阳J 汲底报U 孩口 我斌元段宝11设备日土 11资产毯栏 岐曲情怅11平安*竹11 工单楸表 图2数抿忌经结构 数据总线共享和交换的数据主要包括流量元数据、设备日志，资产数据、告警数据、威 胁情报、平安事件、工单报表等。数据接口包括内部数据交换接口、数据采集接口.级联接 口和外部接口。 附录c （资料性） 政务网络平安监测平台威胁情报数据格式 政务网络平安监测平台域名类、IP类以及文件类威胁情报格式如表B.I B. 3所示。 表域名类威胁情报格式 序号 字段名称 中文名称 字段说明 字段长度 是否必逸 说明 1 code 状态 字符 10 返同状态码见12 2 msg 描述 字符 128 是 返回出错信息 3 id 情报ID 字符 32 是 唯一 id \ ioc IOC内容 字符 256 lOCfl体内容 5 ioc type IOC类型 字符 32 足 I0C的种类 6 intel type 情报类型 字符 128 是 I0C的威胁种类,当前统一为C2 7 iP 域名解析 IP 字符 128 否 域名解析对应的IP，包含历史的解析IP， 最多5条。仪作为卷考信息，不做为检测项， 包括时